Ledger | Wyciek miliona adresów e-mail potwierdzony!

2 636

Jeżeli dostaliście mail od Ledger to z pewnością wiecie, że z bazy firmy wyciekło ok. milion adresów mailowych. Producent jednego z najbardziej znanych portfeli kryptowalut zapewnia, że środki użytkowników są bezpieczne. Poznajcie szczegóły sprawy.

Wyciek z Ledger | Co się stało?

Producent portfeli kryptowalutowych Ledger rozesłał w ostatnich dniach maile do użytkowników swoich urządzeń z informacją, że 17 czerwca br. z bazy danych firmy wyciekło milion adresów mailowych. W komunikacie na stronie supportu Ledger czytamy:

„Chodzi o dane kontaktowe i szczegóły zamówienia. Jest to głównie adres e-mail naszych klientów, około 1 mln adresów. Po zbadaniu sytuacji byliśmy również w stanie ustalić, że w przypadku podzbioru 9500 klientów doszło do wycieku również takich danych, jak imię i nazwisko, adres pocztowy, numer telefonu lub informacje o zamówionych produktach”.

„Środki pozostają bezpieczne”

Zgodnie z komunikatem firmy Ledger, wyciek danych nie ma wpływu na bezpieczeństwo kryptowalut przechowywanych na urządzeniach producenta. Wyciek dotyczył wyłącznie danych z bazy klientów.

Przedstawiciele Ledger stwierdzili, że klucz API strony trzeciej hostowany na ich stronie internetowej został błędnie skonfigurowany:

„Problem z błędną konfiguracją klucza API istnieje od 9 sierpnia 2018 r. Na podstawie posiadanych przez nas informacji uważamy, że został wykryty i wykorzystany pomiędzy kwietniem 2020 a 28 czerwca 2020 r.”

Problem został już rozwiązany. Niektórzy zastanawiają się, w jakim celu Ledger przechowuje tak długo adresy domowe, numery telefonów lub jakiekolwiek inne dane swoich klientów.

Najprawdopodobniej chodzi o tych z nich, którzy właśnie zamówili i czekali na produkt. Mogą to być również dane klientów, które Ledger przechowywał przez kilka miesięcy na wypadek reklamacji ewentualnego zwrotu pieniędzy za zakup i tym podobnych.

Po co komuś maile do klientów Ledger?

Benoit Pellevoizin, wiceprezes ds. Marketingu w Ledger powiedział:

„Zasadniczo za pomocą pozyskanych adresów można kierować do naszych klientów fałszywe e-maile w imieniu formy i prosić o seed phrase portfela, aby uzyskać dostęp do monet… ale my nigdy o to nie prosimy”

Ledger wysłał już e-maile do klientów, których dotyczy problem. Planują też wysłać e-maile do 9500 osób, których dane osobowe zostały skradzione. Pellevoizin dodał, że Ledger nie planuje reparacji ani żadnej formy rekompensaty poszkodowanym użytkownikom, podczas gdy dochodzenie z udziałem francuskich organów ścigania pozostaje w toku.

Ledger „podejmuje kroki w celu spełnienia wymagań certyfikacji ISO 27001”, międzynarodowej struktury zarządzania systemami zarządzania bezpieczeństwem informacji. Ten certyfikat bezpieczeństwa i solidność zabezpieczeń, które ma zapewniać, „są kluczem” do ochrony danych przed takimi naruszeniami, jak to, które właśnie miało miejsce – powiedział Pellevoizin.

Konkurencja nie śpi, czyli – co na to Trezor?

Konkurencyjny producent portfeli sprzętowych – Trezor poinformował swoich obserwatorów na Twitterze, że często czyści swoje systemy ze wszystkich danych zamówień klientów, w tym adresów e-mail – dokładnie co 90 dni.

Trezor dodał również do swojego tweeta kupon oferujący 10% zniżki w swoim sklepie, a kod to „DATAPRIVACY”. W komentarzach zawrzało od oskarżeń o bezczelność i nieetyczną formę promocji produktu. Kod już nie działa.

Pomimo ogłoszenia ludzie pytali, czy skasowaniu ulegają również „kopie zapasowe baz danych”. W poszukiwaniu odpowiedzi Trezor odesłał ludzi do lektury artykułu na swoim blogu. Pokusiłem się o powyższe, aczkolwiek nie znalazłem tam satysfakcjonującej odpowiedzi. Przynajmniej jak dla mnie – „to minimalizuje ryzyko potencjalnych wycieków” – pozostaje zbyt lakoniczne.

Co Wy sądzicie na ten temat?

Komentarze